Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke

GELÖST

NAT zwischen 2 internen Netzen?

Mitglied: Taly2k

Taly2k (Level 1) - Jetzt verbinden

26.04.2012, aktualisiert 18.10.2012, 4294 Aufrufe, 10 Kommentare

Hi,

ich muss für einen unserer Kunden eine NAT-Funktion zwischen 2 internen Netzwerken aufbauen. Die Frage ist: wie realisiert man das am besten? Kann mir da jemand helfen?

Erstmal zu den Eckdaten.

Der Kunde hat ein /27 Netzwerk das nicht mehr geändert werden kann. Der Bereich wurde vom Konzern fest vorgegeben. Leider reicht der Addressraum nun nicht mehr für diese Zweigstelle aus. Die IT des Konzerns fordert daher den Aufbau eines 2. internen Netzwerks das mittels NAT an das /27er Netz angehängt wird.

Für das neue Netz steht außerdem ein Win 2008 r2 zur Verfügung. Ich plane dort ein klassisches class c Netz einzusetzten.

Frage Nr.1: Sollte das am besten über den Server (Routing & RAS) realisiert werden oder besser einen zusätzlichen Router anschaffen?

Frage Nr.2: Wie mach ich das am geschicktesten?


Schonmal danke!

Mit freundlichen Grüßen

Taly
Mitglied: catachan
26.04.2012 um 10:01 Uhr
Hi

Dir ist aber schon bewusst, dass du alle Clients/Server hinter dem Nat dann aus dem ursprünglichen Netz nicht direkt erreichen kannst ? Ich stell mir das zum administrieren etwas schwierig vor (Fernwartung etc)

Ich würde einen eigenen Router nehmen.
Könntest du die Frage 2 etwas konkretisieren ?
LG
Bitte warten ..
Mitglied: Taly2k
26.04.2012 um 10:20 Uhr
Wieso kann ich die nicht mehr erreichen? Das Natting funktioniert doch in beide Richtungen?

Die 2. Frage bezog sich darauf wie die Routen bzw Regeln für diese Netzwerke am besten aufgebaut sein sollten.
Bitte warten ..
Mitglied: catachan
26.04.2012 um 10:51 Uhr
Beim Nat werden alle internen Adressen durch eine oder mehrer Externe Adressen in den IP Paketen ersetzt. Somit kommst du ohne Port Forwarding nicht mehr an die Clients hinter dem Nat

Google mal nach Nat bzw eigentlich Pat und mach dich mal schlau
Bitte warten ..
Mitglied: brammer
26.04.2012 um 11:01 Uhr
Hallo,

@catachan
Schwachsinn!
NATten kann man auch ein komplettes Netz!

brammer
Bitte warten ..
Mitglied: MrNetman
26.04.2012 um 11:08 Uhr
es gibt mehrere Arten von NAT:
mehrere Adressen ==> 1 Adresse + spezielle Portnummer.
mehrere Adressen ==> mehrere Adressen in einem fremden IP-Bereich aber das wird wohl noch weniger helfen, wenn die Adressen aus sind.
Und diese Bastellösungen funktionieren nicht ewig. Eine kleine Änderung und man beginnt von vorne.

Gruß
Netman
Bitte warten ..
Mitglied: catachan
26.04.2012 um 11:16 Uhr
Zitat von brammer:
Hallo,

@catachan
Schwachsinn!
NATten kann man auch ein komplettes Netz!

brammer

Wen er ein Nat macht weil er zu wenige Adressen hat fällt ein one-to-one nat wohl weg.
Also kein Schwachsinn in diesem Fall
Bitte warten ..
Mitglied: aqui
26.04.2012, aktualisiert 18.10.2012
Jeder hat ein bischen Recht, wobei Kollege Netman schon auf dem richtigen Weg ist.....
Da du festgenagelt bist auf dein /27er Netzwerk kannst du dich auch nur strikt in diesem Netzwerk bewegen mit deinen IP Adressen. Du musst also überlegen wie du das am pfiffigsten löst um mit den 30 möglichen IP Adressen hauszuhalten.
Vorweg: Mit dem Server kannst du schon mal leicht vergessen, denn der bietet dir nicht die Möglichkeiten dazu.
1:1 NAT löst dir dein Problem logischerweise nicht, denn das bildet einen IP Aus dem alten Netzwerk im neuen ab...damit hast du also rein gar nichts gewonnen.
Kollege brammer hat hier also Recht denn das ist wirklich Unsinn und hilft nicht. PAT ist das Zauberwort hier.
Was du machen musst ist PAT, Port Adress Translation !
Du nimmst also eine deiner 30 Adressen und NATest darauf das gesamte neue Netzwerk der Zeigstelle so wie jeder beliebige DSL Router es macht.
Leider bist du mit deiner Beschreibung etwas oberflächlich so das man Teile raten muss, denn noch besser ist eine andere Lösung mit der du in der Zweigstelle beide Netze transparent routest ohne NAT und erst am Zweigstellen Router nur die IPs aus dem neuen Netz NATest auf das Firmennetz.
Das hat den Vorteil das die Kollegen in der Zeigstelle völlig transparent kommunizieren können über beide Netze was mit der ersteren Lösung nicht möglich ist, da es sonst eine lokale Einbahnstrasse ist (NAT Firewall).
Wichtig wäre dazu zu wissen ob die Kommunikation in der Zentrale eher zentralisiert auf einen Server geschieht oder ob es any zu any untereinander gibt in beiden Netzen.

Die Option 1 sähe dann so aus:

1499e4db5314c3b04dda72dbeb250ac7 - Klicke auf das Bild, um es zu vergrößern

Hier ist da Nachteil das einen Kommunikation VOM alten /27er Netz INS neue Netz nicht möglich ist da die NAT Firewall im Router das verhindert. Durch die NAT Firewall des Routers hat man hier gewissermaßen eine Einbahnstrasse.
Arbeiten alle im neuen Netz eh nur in Richtung altes Netz oder Firmennetz dann kann man das ignorieren und dann ist diese Option mit einem kleinen 40 Euro Router (oder 2 NICs im Server) in 15 Minuten umgesetzt:

Option 2 sieht ähnlich aus verzichtet aber auf das NAT im lokalen Router:

aa5e209d547e81f2257261f6dd1b5068 - Klicke auf das Bild, um es zu vergrößern

Damit ist dann eine transparente Kommunikation im Zweigstellen Netzwerk gewährleistet allerdings muss der Zweigstellenrouter dann selektiv mit den neuen IP Adressen als Absender NAT auf die Firmennetz IP machen.
Auch das ist problemlos möglich und in 30 Minuten umgesetzt sofern man die richtige Router Hardware hat oder eben die "2 NIC Lösung" im Server.
Details zur 2 NIC Lösung findest du HIER.
Router wäre technisch vorzuziehen, der der Netzbetrieb dann unabhängig von der Verfügbarkeit des Servers funktioniert. Beide Szenarien lösen aber dein Problem.

Such dir also das für dich sinnvollste Szenario raus. Beides sind banale Standard Szenarien für diese immer wiederkehrende klasssiche IP Adress Fehlplanungen.
Beides ist im Handumdrehen mit wenig finanziellen und technischen Aufwand realisierbar.
Bitte warten ..
Mitglied: aqui
28.04.2012 um 09:08 Uhr
@Taly2k
Wenns das denn nun war oder du kein Interesse mehr an einer Lösung hast bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: Taly2k
02.05.2012 um 21:33 Uhr
Hi,

danke erst mal für die ausführliche Erklärung.

Ich probier das ganze Anfang nächster Woche aus. je nachdem wie es ausgeht schließe ich das Thema und berichte kurz ob es geklappt hat.

Gruß
Taly
Bitte warten ..
Mitglied: aqui
03.05.2012 um 10:28 Uhr
Da sind wir wie immer auf ein Feedback gespannt. Wird aber sicher klappen so....
Bitte warten ..
Ähnliche Inhalte
Netzwerke
OpenVPN kein zugriff auf internes Netz
Frage von raxxis990Netzwerke10 Kommentare

Hallo Auf meinen hinter dem Speedport Hybrid geschalteten DD-WRT Router läuft ein OpenVPN Server um von außerhalb in das ...

Router & Routing
PfSense: 2x NAT zwischen versch. Netzen
Frage von mrserious73Router & Routing4 Kommentare

Hallo zusammen! Habe hier eine etwas merkwürdige Situation (soll aber leider so bleiben): Zwei versch. Netze im selben Gebäude, ...

Router & Routing
Problem mit 2 NAT
gelöst Frage von mzda1234Router & Routing5 Kommentare

Liebe Forumgemeinde, Wir setzen seit langem ein zyxel firewall. Dort sind alle firewall und nat regeln schon hinterlegt. Nun ...

LAN, WAN, Wireless
WLAN - Internes Netz und externes Netz trennen
Frage von staybbLAN, WAN, Wireless2 Kommentare

Hallo, mich würde interessieren welchen Weg ihr einschlagen würdet wenn ihr in einem Betrieb eine Wlan Umgebung einrichten müsstet, ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...